This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Cannot email or telnet on port 25 to external mail server...

I have been struggling with a situation with connecting to an external mail server for years (!) now.  I have turned on all of the logging that I can think of with our Astaro 220 in an effort to nail down this problem, but I haven 't found anything yet.

I have tested DNS with a ping mail.problemdomain.com, and it resolves the IP address correctly.  The ping fails (as it probably should) and the response from the ping is "Reply from 192.168.1.1: Destination host unreachable."  The 192.168.1.1 is the address of our Astaro 220, which I assume is normal.

From my Astaro protected network, I cannot telnet on port 25 to mail.problemdomain.com and I get a "connect failed" message.  When I go to our backup internet connection, or from my home connection, I can telnet and connect to this domain.  

I have added a packet filter on my Astaro at the top of the list that allows my computer to send to this domain on any port, this domain in both directions on port 25, and various other packet filter defeating settings.  I have increased the logging in this area, and the requests on port 25 to this domain are shown as being allowed.

It looks like whenever the source is our public IP, or when the requests are being routed through our Astaro 220, this domain is like a black hole to me.  I have been in contact with the IT folks in control of this domain, and aside from having trouble with them responding, they have reviewed thier setup and do not see anything that could be causing the problem.  I had assumed that we had somehow become black listed, but I have tried an additional IP address on our DMZ on this same Astaro and it is also blocked.

This has led me to believe that either the Astaro is somehow blocking this and I can't find the right logs to see why, or the domain admins of the other domain are black listing us or have a configuration issue of some sort.

I am at a loss at how to proceed, and would welcome any suggestions for trying to fix this.

Thanks!


This thread was automatically locked due to age.
  • Hi, dartman, and welcome to the User BB!

    This sounds like a simple configuration error.  It seems strange that you have DNS resolution to "192.168.1.1" - if that's coming from an internal DNS server and you don't have a route to the Astaro, I wonder if you don't have another device that's the default gateway for your network or ???

    Although you may want to obfuscate your real IPs (like 64.x.y.101 and 192.168.z.1), please show precisely what IPs are where, including the mail domain.

    Cheers - Bob
    PS Ping behavior is regulated on the 'ICMP' tab of 'Network Security >> Packet Filter', but the message you showed above indicates that the ping couldn't be routed correctly.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Bob has some good points; also check your IPS settings (disable if necessary to test), and see if you have SMTP Proxy enabled, you may try disabling that temporarily as well (that could interfere with your telnet session you are using) -- these will help you narrow things down a bit, but I'm leaning towards a basic configuration issue as Bob said.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Sophos Platinum Partner

    --------------------------------------

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • Anytime someone uses "obfuscate" in a sentence, I am inclined to follow thier advice!

    The domain I am trying to telnet on port 25 to is mail.gomezmaylaw.com, which thier DNS records have this pointing to 64.22.219.165.

    The 192.168.1.1 is the internal address of my Astaro gateway, and this is the IP that is tagged on the "Destination host unreachable" on the ping.  I would expect the ping to fail, as I wouldn't beleive a lot of admins would allow there servers to be pinged.  The ping looks like this:

    ----------------------------------------------------------
    PING MAIL.GOMEZMAYLAW.COM

    Pinging MAIL.GOMEZMAYLAW.COM [64.22.219.165] with 32 bytes of data:

    Reply from 192.168.1.1: Destination host unreachable.
    Reply from 192.168.1.1: Destination host unreachable.
    Reply from 192.168.1.1: Destination host unreachable.
    Reply from 192.168.1.1: Destination host unreachable.

    Ping statistics for 64.22.219.165:
        Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
    Approximate round trip times in milli-seconds:
        Minimum = 0ms, Maximum = 0ms, Average = 0ms
    ----------------------------------------------------------

    My public IP is 64.22.204.18, which is also the IP that resolves to mail.butlerins.com 

    I have disabled IPS, and there was no change in the behavior either.  I watched these logs intently for problems when I was troubelshooting, and I did not see anything.

    I did change the ICMP settings to allow everything, but that is not really related to the problem IMO.

    I did notice that this address is on the same ISP as my company, and I contacted the ISP to see if there was any routing, blocking, or anything keeping traffic flowing between these two IP addresses and we did not find anything there either.

    I appreciate the suggestions... does anything here give you any additinal insight?  Are there any logs I am missing to review?

    Thanks!
  • Since you are using the SMTP Proxy, my guess is that you've got it in transparent mode and it is intercepting the telnet calls.  Try turning this off on the advanced tab.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • I am sorry I wasn't clear, but I am not using the SMTP proxy.

    Thanks!
    Scott
  • Let's try something else in an attempt to narrow this down.  We'll see if it is just that domain.  Try 
    telnet smtp.gmail.com 25


    FYI, I can telnet to gomez just fine.

    Any other device upstream of the Astaro, like another firewall by chance?

    Update:  I did a check on your IP at dnsstuff and got back 
    BACKSCATTERER 127.0.0.2 "Sorry 64.22.204.18 is blacklisted at www.backscatterer.org/ http://www.backscatterer.org
      I see the same thing at mxtoolbox.  If this is a dns blacklist that Gomez uses, then that would account for the problem that you're seeing.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • Scott, I still don't think the problem is that Scott's being rejected at the attorney's mailserver.

    Scott, from WebAdmin, 'Support >> Tools', ping their mail server both by IP and FQDN.  I bet both work fine.  If so, then my first guess is that you have a DNS configuration problem inside your network.  Do you have things configured like one of the suggestions in DNS Best Practice?

    Cheers - Bob
    PS To get your IP off the backscatter list, configure your anti-spam or mail server to not accept emails for non-existent addresses; at present, it appears to be accepting them and returning them as non-deliverable.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • I know many ISPs block port 25 traffic.  Could it be as simple as that?

    -Bob
  • OK, one other thought.  In looking at this again, it seems that DNS is working fine, but the Astaro doesn't have a route to the IP.  What is the netmask on the External interface?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • I did notice that this address is on the same ISP as my company, and I contacted the ISP to see if there was any routing, blocking, or anything keeping traffic flowing between these two IP addresses and we did not find anything there either.


    Ahh...therein lies the issue (I hope -- it'll make me look like a genius if it is [[:)]] ).

    I have seen this happen before at a customer site.  They install a new ISP service, with a new router, and suddenly they have trouble sending / receiving all sorts of traffic (like you, email is usually the first thing they notice is not working) to another site that used to work fine under their old ISP.  They call us -- We find that the other site is on the same ISP, and that's the common issue -- there's nothing else "special" about the site that they can't communicate with.

    We hassle the ISP about routing issues, etc. and they don't see anything wrong in their edge / core equipment... then I dig into their (the customer's) router (the last time, it was an older Cisco T1 Router, a 1600 series I think, so yeah, it's been a while).  I see an IOS command missing that is normally on all newer equipment, "ip classless."  Turns out, enabling that, fixed the whole thing.  See Route Selection in Cisco Routers - Cisco Systems for more info ... if you are using a different kind of router, well, look for a function that performs a similar task.  Also, bear in mind, the remote router (the other end) may be misconfigured this way, and that would have the same result.

    The other possible cause is probably an issue with the ISP, but I'd rule out the above first...  If I'm right, donate 10 bucks to your favorite charity [[:)]]

    BTW, if this is over your head, ask your ISP is there's an issue with routing to supernets (this is what IP CLASSLESS on a Cisco router fixes) on their network... they should be able to take it from there.  You can link them to this thread if you like, I think I might have painted a picture here...

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Sophos Platinum Partner

    --------------------------------------

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.